Wenn Logging as a Service nicht SIEM ist, was ist es dann?
Das Speichern von Protokollen in der Cloud (Logging as a Service) kann eine umfangreiche und teure Angelegenheit sein, doch es bietet eine Vielzahl von verlockenden Vorteilen.
Protokolle sind wie ein Herzmonitor für das Rechenzentrums: Sie verzeichnen System-, Geräte-, Benutzer- und Anwendungsereignisse und -metriken, die Hinweise auf die Gesundheit, den Zustand und Anomalien einer IT-Umgebung geben.
Einzelne Betriebssysteme haben seit den frühesten Mainframes, Minicomputern und Unix-Geräten System- und Serviceprotokolle gesammelt. Aber sobald Netzwerke mehrere Maschinen zu einem LAN (Local Area Network) verbanden, bildeten diese individuelle Protokolle den Zustand des Systems nicht mehr ausreichend ab.
Mit dem Aufkommen von virtuellen Maschinen (VMs), Cloud-Diensten und Containern vervielfachten sich die Quellen von Protokolldaten exponentiell. Dies führte zu einer Explosion von forensischen Daten, die ohne Softwareunterstützung nur schwer zu nutzen und zu verstehen sind.
Software zur Log-Aggregation und -Verwaltung erfüllte diesen neuen Bedarf an Tools zum Sammeln, Organisieren, Archivieren und Analysieren von Log-Daten. Wie viele IT-Funktionen gibt es sie mittlerweile auch in Form eines verwalteten Cloud-Dienstes – umgangssprachlich Logging as a Service (LaaS) genannt – mit denen Administratoren die Konfiguration, den Betrieb und die Sicherheit komplizierter Systeme überwachen.
Log-Verwaltung versus SIEM
Log-Management-Software wird oft mit Security Information Event Management-Software (SIEM) verwechselt. Beide überwachen und analysieren System- und Anwendungsdaten, so dass auch Anbieter oft die Grenzen zwischen den beiden Kategorien verwischen.
Viele SIEM-Produkte enthalten auch ein Log-Managementmodul. Umgekehrt haben einige Log-Managementanbieter auch SIEM-Produkte, die mit ihren Logging-Produkten zusammenarbeiten oder diese ergänzen.
Der Hauptunterschied zwischen Log-Management und SIEM ist der Fokus. SIEM-Tools priorisieren Daten und Metriken, die für die Sicherheit relevant sind, und nicht die Gesamtheit der System-, Benutzer- und Anwendungsprotokollausgaben einer Umgebung.
Abbildung 1: SIEM und Protokollmanagement überschneiden sich bei einigen wichtigen Funktionen.
Log-Management-Software und -Dienste bieten eine skalierbare, ganzheitliche Plattform zum Sammeln, Verwalten, Archivieren und Analysieren der gesamten Log-Ausgabe einer IT-Umgebung - vor Ort und in der Cloud.
Wie Abbildung 1 veranschaulicht, umfassen die meisten Log-Management-Plattformen und LaaSes diese Funktionen:
Datenerfassung aus mehreren Quellen;
Datenaggregation und -zusammenführung;
richtlinienbasierte Datenverwaltung und Archivierung;
Speicherskalierung und -verwaltung von Hunderten von Terabytes oder mehr;
kriterienbasierte Warnungen und Benachrichtigungen;
kundenspezifische Berichte, Dashboards und Visualisierungen; und
Datenanalyse, Trendauswertung und Anomalie-Erkennung.
Administratoren nutzen die Protokollverwaltung, um Ereignisdaten und Telemetrie aus allen Quellen in einer IT-Umgebung zu sammeln, damit sie zusammenhängende Aktivitäten über mehrere Systeme hinweg verfolgen können.
Das Sammeln von Informationen aus unterschiedlichen Quellen ist ohne großen technischen Aufwand möglich, da Protokolldaten naturgemäß portabel sind und normalerweise in Textdateien vorliegen. Außerdem gibt es für sie nur eine beschränkte Auswahl an Formaten, wie zum Beispiel Syslog, JSON, Common Event Format und Extended Log Format, einschließlich W3C ELF und Comma-Separated Values (CSV).
Logging as a Service ist lediglich die SaaSifizierung der Protokoll-verwaltung.
Logging as a Service ist lediglich die SaaSifizierung der Protokollverwaltung. LaaS kann auf mehrere Arten umgesetzt sein: Erstens, als umfassender verwalteter Dienst. Der Anbieter vermietet und verwaltet dann in der Regel – aber nicht immer – die Cloud-Infrastruktur, die für den Betrieb des Dienstes für den Benutzer erforderlich ist. Einige Anbieter haben solche Produkte sowohl mit einer Multi- als auch mit einer Single-Tenant-Infrastruktur zur Auswahl. Letztere bietet dedizierte Ressourcen – typischerweise Speicher und Datenbanken – mit strengeren Service-Level-Agreements.
Die zweite Möglichkeit ist ein hybrider DIY-Dienst. Bei diesem LaaS-Ansatz kombinieren Anwender mehrere Cloud-Dienste mit einem oder mehreren Softwarepaketen von einem Cloud-Marktplatz, um ein komplettes Log-Management-System zu erstellen.
Vor- und Nachteile von LaaS
Zu den Vorteilen von SaaS-Produkten – und damit auch von LaaS-Tools – gehören:
betriebliche Effizienz durch ausgelagertes Softwaremanagement;
finanzielle Effizienz durch das Ersetzen von Opex-Abonnements durch Capex für Server und Software;
schnellere Bereitstellungszeiten;
Anpassungsfähigkeit an sich ändernde Arbeits- und IT-Umgebungen, wie zum Beispiel Remote-Arbeit, Container-Cluster, Cloud-Infrastruktur und SaaS-Dienste (Software as a Service);
bessere Servicequalität durch automatische Produkt-Updates und Sicherheits-Hotfixes; und
mehr Sicherheit, da die Anbieter die Größenordnung haben, um dedizierte Sicherheitsteams für die Konfiguration und Überwachung ihrer Infrastruktur und Software einzustellen.
Nach der Sicherheitsverletzung bei SolarWinds wurde beispielsweise in einem Sicherheitshinweis der U.S. National Security Agency empfohlen, dass betroffene Benutzer auf Cloud-Dienste (in diesem Fall Identitäts- und Zugriffsmanagement) migrieren sollten, um die Sicherheit zu verbessern.
In dem Advisory wird darauf hingewiesen, dass Angreifer, sobald sie mit der Malware in ein internes Netzwerk eingedrungen sind, häufig schwache Microsoft-Active-Directory-Installationen ausnutzen, um sich noch mehr Zugriff im System zu verschaffen. Die NSA schlug vor, stattdessen Azure Active Directory als autoritativen Identitätsanbieter zu verwenden. Mit Azure AD verwaltet Microsoft die Föderation der Authentifizierung und dehnt seine eigenen Schutzmaßnahmen, wie Systemhärtung, Konfiguration und Überwachung, auf den Benutzer aus.
Ein Nachteil von SaaS ist jedoch, dass Managed Services möglicherweise nicht mit bestehenden internen Anwendungen funktionieren. Für Unternehmen mit technischem Know-how und atypischen Anforderungen bietet SaaS außerdem nicht die Flexibilität, Systemkonfigurationen, Infrastrukturrichtlinien und Systemversionen im Detail zu verwalten.
Abbildung 2: Der Aufbau des Azure-Monitors
Dennoch ist LaaS für viele Unternehmen eine gute Wahl, da das Fachwissen und die Ressourcen, die für den Einsatz und die Verwaltung eines Log-Managementsystems erforderlich sind, beträchtlich sein können – vor allem, wenn sich ein Unternehmen dafür entscheidet, Open-Source-Komponenten wie den Elasticsearch Stack in seine Umgebung einzubauen.
Darüber hinaus ist eine vor Ort installierte Log-Managementinfrastruktur kostspielig. Während große Organisationen bei den Speicherkosten sparen können, senkt die sinnvolle Nutzung von Cloud-Diensten für Cold Storage die Kosten für kleinere Organisationen. Unternehmen können die Kosten durch Dienste wie Amazon S3 Glacier oder S3 Glacier Deep Archive, Azure Archive Storage oder Blob Storage oder Google Cloud Coldline oder Archive Storage erheblich senken. Die meisten LaaS-Produkte lassen sich zur Datenarchivierung mit Cloud-Objektspeicher zusammen verwenden.
Wie andere Anbieter von Unternehmenssoftware haben auch die Anbieter von Protokollmanagement das SaaS-Bereitstellungs- und Preismodell übernommen, und die meisten wichtigen Produkte sind als Managed Service verfügbar. In Abbildung 2 finden Sie den Aufbau des Azure Monitor, der LaaS-Lösung von Microsoft, als Beispiel für eine Cloud-basierte Protokollmanagementlösung (Quelle: Azure Monitor Dokumentation).
